翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EC2 インスタンスを Simple AD に結合する方法
<a name="simple_ad_join_instance"></a>

インスタンスを起動したときに Amazon EC2 インスタンスを Active Directory ドメインにシームレスに結合できます。詳細については、「[Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD Active Directory に結合する](launching_instance.md)」を参照してください。EC2 インスタンスを起動し、[AWS Systems Manager オートメーション](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)を使用して Directory Service コンソールから直接 Active Directory ドメインに結合することもできます。

手動で EC2 インスタンスをActive Directory ドメインに結合する必要がある場合は、適切なリージョンおよびセキュリティグループまたはサブネットでインスタンスを起動後、そのインスタンスをドメインに結合する必要があります。

これらのインスタンスにリモート接続できるようにするには、接続元のネットワークからインスタンスへの IP 接続が必要です。ほとんどの場合、これには、インターネットゲートウェイが VPC にアタッチされていることと、インスタンスにパブリック IP アドレスがあることが必要です。

**Topics**
+ [Amazon EC2 Windows インスタンスを Simple AD Active Directory に結合する](simple_ad_launching_instance.md)
+ [Amazon EC2 Linux インスタンスを Simple AD アクティブディレクトリに結合する](simple_ad_linux_domain_join.md)
+ [Simple AD のディレクトリ結合権限を委任する](simple_ad_directory_join_privileges.md)
+ [Simple AD の DHCP オプションセットの作成](simple_ad_dhcp_options_set.md)

# Amazon EC2 Windows インスタンスを Simple AD Active Directory に結合する
<a name="simple_ad_launching_instance"></a>

Amazon EC2 Windows インスタンスを起動して Simple AD に結合できます。または、既存の EC2 Windows インスタンスを Simple AD に手動で結合することもできます。

------
#### [ Seamlessly join an EC2 Server  ]

EC2 インスタンスをシームレスにドメイン結合するには、以下を完了する必要があります。

**前提条件**
+ シンプルな AD を使用する 詳細については、「[Simple AD を作成する](simple_ad_getting_started.md#how_to_create_simple_ad)」を参照してください。
+ EC2 Windows インスタンスをシームレスに結合するには、次の IAM アクセス許可が必要です。
  + 次の IAM アクセス許可を持つ IAM インスタンスプロファイル:
    + `AmazonSSMManagedInstanceCore`
    + `AmazonSSMDirectoryServiceAccess`
  + EC2 を Simple AD にシームレスにドメイン結合するユーザーには、次の IAM アクセス許可が必要です。
    + Directory Service アクセス許可:
      + `"ds:DescribeDirectories"`
      + `"ds:CreateComputer"`
    + Amazon VPC のアクセス許可:
      + `"ec2:DescribeVpcs"`
      + `"ec2:DescribeSubnets"`
      + `"ec2:DescribeNetworkInterfaces"`
      + `"ec2:CreateNetworkInterface"`
      + `"ec2:AttachNetworkInterface"`
    + EC2 アクセス許可:
      + `"ec2:DescribeInstances"`
      + `"ec2:DescribeImages"`
      + `"ec2:DescribeInstanceTypes"`
      + `"ec2:RunInstances"`
      + `"ec2:CreateTags"`
    + AWS Systems Manager アクセス許可:
      + `"ssm:DescribeInstanceInformation"`
      + `"ssm:SendCommand"`
      + `"ssm:GetCommandInvocation"`
      + `"ssm:CreateBatchAssociation"`

Simple AD が作成されると、インバウンドルールとアウトバウンドルールを使用してセキュリティグループが作成されます。これらのルールとポートの詳細については、「[Simple AD で作成されるもの](simple_ad_what_gets_created.md)」を参照してください。EC2 Windows インスタンスをシームレスにドメイン結合するには、インスタンスを起動する VPC で、Simple AD セキュリティグループのインバウンドルールとアウトバウンドルールで許可されているのと同じポートを許可する必要があります。
+ ネットワークセキュリティとファイアウォールの設定によっては、追加のアウトバウンドトラフィックを許可する必要がある場合があります。このトラフィックは、次のエンドポイントへの HTTPS (ポート 443) 用です。  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/simple_ad_launching_instance.html)
+ Simple AD ドメイン名を解決する DNS サーバーを使用することをお勧めします。そのためには、DHCP オプションセットを作成できます。詳細については「[Simple AD の DHCP オプションセットの作成](simple_ad_dhcp_options_set.md)」を参照してください。
  + DHCP オプションセットを作成しない場合、DNS サーバーは静的になり、Simple AD によって に設定されます。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. ナビゲーションバーで、既存のディレクトリ AWS リージョン と同じ を選択します。

1. [**EC2 ダッシュボード**] の [**インスタンスを起動する**] セクションで、[**インスタンスを起動する**] を選択します。

1. [**インスタンスを起動する**] ページの [**名前とタグ**] セクションで、Windows EC2 インスタンスに使用する名前を入力します。

1.  (オプション) [**補足タグを追加**] で、タグとキーの値のペアを 1 つまたは複数追加して、この EC2 インスタンスのアクセスを整理、追跡、または制御します。

1. [**アプリケーションと OS イメージ (Amazon マシンイメージ)**] セクションの [**クイックスタート**] ペインで [**Windows**] を選択します。Windows Amazon マシンイメージ (AMI) は、[**Amazon マシンイメージ (AMI)**] ドロップダウンリストから変更できます。

1. [**インスタンスタイプ**] セクションで、[**インスタンスタイプ**] ドロップダウンリストから使用するインスタンスタイプを選択します。

1. [**キーペア (ログイン)**] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。

   1. 新しいキーペアを作成するには、[**新しいキーペアの作成**] を選択します。

   1. キーペアの名前を入力し、[**キーペアタイプ**] と [**プライベートキーファイル形式**] のオプションを選択します。

   1.  OpenSSH で使用できる形式でプライベートキーを保存するには、[**.pem**] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[**.ppk**] を選択します。

   1. [**キーペアの作成**] を選択します。

   1. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。
**重要**  
プライベートキーのファイルを保存できるのはこのタイミングだけです。

1. [**インスタンスを起動する**] ページの [**ネットワーク設定**] セクションで、[**編集**] を選択します。**[VPC - *必須*]** ドロップダウンリストから、ディレクトリが作成された **[VPC]** を選択します。

1. [**サブネット**] ドロップダウンリストから VPC 内のパブリックサブネットの 1 つを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。

   インターネットゲートウェイへの接続方法の詳細については、「*Amazon VPC User Guide*」の「[Connect to the internet using an internet gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)」を参照してください。

1. [**自動割り当てパブリック IP**] で、[**有効化**] を選択します。

   公開 IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon EC2 インスタンスユーザーガイド」の「[Amazon EC2 インスタンスの IP アドレス指定](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)」を参照してください。**

1. [**ファイアウォール (セキュリティグループ)**] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

1. [**ストレージの設定**] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

1. [**高度な詳細**] セクションを選択し、[**ドメイン結合ディレクトリ**] ドロップダウンリストからドメインを選択します。
**注記**  
ドメイン結合ディレクトリを選択すると、次のようになります:   

![\[ドメイン結合ディレクトリを選択したときのエラーメッセージ。既存の SSM ドキュメントにエラーがあります。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

このエラーは、EC2 起動ウィザードが予期しないプロパティを持つ既存の SSM ドキュメントを識別した場合に発生します。次のいずれかを試すことができます。  
以前に SSM ドキュメントを編集し、プロパティの存在が予想される場合は、[閉じる] を選択して EC2 インスタンスを変更せずに起動します。
ここで既存の SSM ドキュメントを削除するリンクを選択して、SSM ドキュメントを削除します。これにより、正しいプロパティを使用する SSM ドキュメントを作成できます。EC2 インスタンスを起動すると、SSM ドキュメントが自動的に作成されます。

1. [**IAM インスタンスプロファイル**] には既存の IAM インスタンスプロファイルを選択するか、新しいプロファイルを作成できます。管理 AWS ポリシー **AmazonSSMManagedInstanceCore** と **AmazonSSMDirectoryServiceAccess** がアタッチされている IAM インスタンスプロファイルを **IAM インスタンスプロファイル**ドロップダウンリストから選択します。新しい IAM プロファイルリンクを作成するには、[**新しい IAM プロファイルを作成する**] リンクを選択し、以下を実行します。

   1. [**ロールの作成**] を選択してください。

   1. **[Select trusted entity] **(信頼されたエンティティを選択) で、[**AWS サービス**] を選択します。

   1. **[ユースケース]** で、**[EC2]** を選択してください。

   1.  ポリシーのリスト内の [**アクセス許可を追加する**] の下で、**AmazonSSMManagedInstanceCore** ポリシーと **AmazonSSMDirectoryServiceAccess** ポリシーを選択します。リストを絞り込むため、検索ボックスに **SSM** と入力します。[**次へ**] を選択します。
**注記**  
**[AmazonSSMDirectoryServiceAccess]** により、 Directory Serviceで管理されている Active Directory にインスタンスを結合するためのアクセス許可が付与されます。**AmazonSSMManagedInstanceCore** は、 AWS Systems Manager サービスを使用するために必要な最小限のアクセス許可を提供します。これらのアクセス許可を使用してロールを作成する方法、および IAM ロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Systems Manager の IAM インスタンスプロファイルを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)」を参照してください。

   1. [**名前、確認、作成**] ページで、[**ロール名**] を入力します。EC2 インスタンスにアタッチするには、このロール名が必要です。

   1. (オプション) IAM インスタンスプロファイルの説明を [**説明**] フィールドに入力できます。

   1. [**ロールの作成**] を選択してください。

   1.  [**インスタンスを起動する**] ページに戻り、[**IAM インスタンスプロファイル**] の横にある更新アイコンを選択します。新しい IAM インスタンスプロファイルが [**IAM インスタンスプロファイル**] ドロップダウンリストに表示されるはずです。新しいプロファイルを選択し、残りの設定はデフォルト値のままにします。

1. **[インスタンスを起動]** を選択します。

------
#### [ Manually join an EC2 Server  ]

既存の Amazon EC2 Windows インスタンスを Simple AD Active Directory に手動で結合するには、[Amazon EC2 Windows インスタンスを Simple AD Active Directory に結合する](#simple_ad_launching_instance) で指定したパラメータを使用して、インスタンスを起動する必要があります。

Simple AD の DNS サーバーの IP アドレスが必要です。この情報は、お使いのディレクトリ > **[ディレクトリの詳細]** セクションと **[ネットワークとセキュリティ]** セクションの、**[ディレクトリサービス]** > **[ディレクトリ]** > **[ディレクトリ ID]** リンクの下にあります。

![\[ディレクトリの詳細ページの Directory Service コンソールで、 Directory Service 提供された DNS サーバーの IP アドレスが強調表示されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/directory_details_highlighted.png)


**Windows インスタンスを Simple AD Active Directory に結合するには**

1. リモートデスクトッププロトコルクライアントを使用してインスタンスに接続します。

1. インスタンスの TCP / IPv4 プロパティダイアログボックスを開きます。

   1. **ネットワーク接続**を開きます。
**ヒント**  
インスタンスのコマンドプロンプトから以下のコマンドを実行すると、**[Network Connections]** (ネットワーク接続) を直接開くことができます。  

      ```
      %SystemRoot%\system32\control.exe ncpa.cpl
      ```

   1. 有効になっているネットワーク接続のコンテキストメニュー (右クリック) を開き、**[Properties]** (プロパティ) を選択します。

   1. 接続のプロパティダイアログボックスで、[**Internet Protocol Version 4**] をダブルクリックして開きます。

1. **[次の DNS サーバーのアドレスを使用する]** を選択し、**[優先 DNS サーバー]** および **[代替 DNS サーバー]** のアドレスを Simple AD が提供した DNS サーバーの IP アドレスに変更し、**[確認]** をクリックします。  
![\[[Internet Protocol Version 4 (TCP/IPv4) Properties] ダイアログボックスの [Properties] ダイアログボックスでは、[優先 DNS サーバー] フィールドと [Alternative] フィールドが強調表示されています。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/dns_server_addresses.png)

1. インスタンスの **[System Properties]** (システムプロパティ) ダイアログボックスを開き、**[Computer Name]** (コンピュータ名) タブを選択して、**[Change]** (変更) をクリックします。
**ヒント**  
インスタンスのコマンドプロンプトから以下のコマンドを実行すると、**[System Properties]** (システムプロパティ) ダイアログボックスを直接開くことができます。  

   ```
   %SystemRoot%\system32\control.exe sysdm.cpl
   ```

1. **[所属先]** フィールドで、**[ドメイン]** を選択し、Simple AD Active Directory の完全修飾名を入力して、**[確認]** をクリックします。

1. ドメイン管理者の名前とパスワードの入力を求められたら、ドメイン結合権限を持つアカウントのユーザー名とパスワードを入力します。これらの権限の委任に関する詳細については、「[Simple AD のディレクトリ結合権限を委任する](simple_ad_directory_join_privileges.md)」を参照してください。
**注記**  
ドメインの完全修飾名または NetBIOS 名のいずれかを入力できます。これに続けて、バックスラッシュ (\$1)、ユーザー名の順に入力します。ユーザー名は **[Administrator]** になります。例えば、**corp.example.com\$1administrator**、**corp\$1administrator** です。

1. ドメインへのアクセスを歓迎するメッセージを受け取ったら、インスタンスを再起動して変更を有効にします。

これでインスタンスは Simple AD Active Directory ドメインに結合されたので、そのインスタンスに遠隔的にログインし、ユーザーやグループの追加など、ディレクトリを管理するためのユーティリティをインストールできます。Active Directory 管理ツールを使用して、ユーザーとグループを作成できます。詳細については、「[Simple AD の Active Directory 管理ツールをインストールする](simple_ad_install_ad_tools.md)」を参照してください。

------

# Amazon EC2 Linux インスタンスを Simple AD アクティブディレクトリに結合する
<a name="simple_ad_linux_domain_join"></a>

Amazon EC2 Linux インスタンスを起動して、 AWS マネジメントコンソールの Simple AD に結合できます。EC2 Linux インスタンスを Simple AD に手動で結合することもできます。

以下の Linux インスタンスのディストリビューションおよびバージョンがサポートされています。
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 ビット x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 ビット x86)
+ Ubuntu Server 18.04 LTS および Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**注記**  
Ubuntu 14 および Red Hat Enterprise Linux 7 および 8 より前のディストリビューションでは、シームレスなドメイン結合機能はサポートされていません。

**Topics**
+ [Amazon EC2 Linux スタンスを Simple AD Active Directoryにシームレスに結合する](simple_ad_seamlessly_join_linux_instance.md)
+ [Amazon EC2 Linux インスタンスをSimple AD アクティブディレクトリに手動で結合する](simple_ad_join_linux_instance.md)

# Amazon EC2 Linux スタンスを Simple AD Active Directoryにシームレスに結合する
<a name="simple_ad_seamlessly_join_linux_instance"></a>

この手順では、Amazon EC2 インスタンスを Simple AD Active Directoryにシームレスに結合します。

以下の Linux インスタンスのディストリビューションおよびバージョンがサポートされています。
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 ビット x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 ビット x86)
+ Ubuntu Server 18.04 LTS および Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**注記**  
Ubuntu 14 および Red Hat Enterprise Linux 7 および 8 より前のディストリビューションでは、シームレスなドメイン結合機能はサポートされていません。

## 前提条件
<a name="simple_ad_seamless-linux-prereqs"></a>

Linux インスタンスへのシームレスなドメイン結合を設定する前に、このセクションの手順を完了する必要があります。

### シームレスなドメイン結合のサービスアカウントを選択する
<a name="simple_ad_seamless-linux-prereqs-select"></a>

Linux コンピュータを Simple AD ドメインにシームレスに結合できます。これを行うには、コンピュータをドメインに結合するためのコンピュータアカウントの作成アクセス許可を持つユーザーアカウントを作成する必要があります。*Domain Admins* または他のグループのメンバーがコンピュータをドメインに結合する十分な権限を持っていても、これらは推奨されません。ベストプラクティスとして、コンピュータをドメインに結合するために必要な最低限の権限を持つサービスアカウントを使用することをお勧めします。

コンピュータアカウントの作成のために、サービスアカウントへのアクセス許可を処理および委任する方法の詳細については、「[権限をサービスアカウントに委任する](ad_connector_getting_started.md#connect_delegate_privileges)」を参照してください。

### ドメインサービスアカウントを保存するシークレットを作成する
<a name="-create-secrets"></a>

を使用して AWS Secrets Manager ドメインサービスアカウントを保存できます。詳細については、[「 AWS Secrets Manager シークレットの作成](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html)」を参照してください。

**注記**  
Secrets Manager には料金がかかります。詳細については、「*AWS Secrets Manager ガイド*」の「[料金](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing)」を参照してください。

**ドメインサービスアカウントの情報を保存するシークレットを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) で AWS Secrets Manager コンソールを開きます。

1. **[Store a new secret]** (新しいシークレットの保存) を選択します。

1. **[Store a new secret]** (新しいシークレットを保存する) のページで、次の操作を行います：

   1. **[シークレットのタイプ]** で、**[その他のシークレットのタイプ]** を選択します。

   1. **[Key/value pairs]** (キー/値ペア) で、次のように実行します。

      1. 最初のボックスに **awsSeamlessDomainUsername** と入力します。同じ行の次のボックスに、サービスアカウントのユーザー名を入力します。例えば、以前に PowerShell コマンドを使用した場合、サービスアカウント名は **awsSeamlessDomain** になります。
**注記**  
**awsSeamlessDomainUsername** を正確に入力する必要があります。先頭または末尾にスペースがないことを確認します。スペースがあると、ドメイン結合が失敗します。  
![\[の AWS Secrets Manager コンソールでシークレットタイプを選択します。awsSeamlessDomainUsernameシークレットタイプで他のタイプのシークレットが選択され、キー値として入力されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/secrets_manager_1.png)

      1. **[Add row]** (行の追加) を選択します。

      1. 新しい行で、最初のボックスに **awsSeamlessDomainPassword** と入力します。同じ行の次のボックスに、サービスアカウントのパスワードを入力します。
**注記**  
**awsSeamlessDomainPassword** を正確に入力する必要があります。先頭または末尾にスペースがないことを確認します。スペースがあると、ドメイン結合が失敗します。

      1. **暗号化キー**の下で、デフォルト値`aws/secretsmanager`のままにしておきます。 このオプションを選択すると、 AWS Secrets Manager は常に秘密を暗号化します。自身で作成したキーを選択することもできます。

      1. [**次へ**] を選択します。

1. **[Secret name]**の下に、*d-xxxxxxxxxx*をディレクトリIDに置き換えて、以下のフォーマットでディレクトリIDを含むsecret nameを入力します：

   ```
   aws/directory-services/d-xxxxxxxxx/seamless-domain-join
   ```

   これは、アプリケーション内のシークレットを取得するために使用されます。
**注記**  
**aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** は正確に入力する必要がありますが、*d-xxxxxxxxxx* はディレクトリ ID に置き換えてください。先頭または末尾にスペースがないことを確認します。スペースがあると、ドメイン結合が失敗します。  
![\[シークレットの設定ページの AWS Secrets Manager コンソールで。シークレット名が入力され、強調表示されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/secrets_manager_2.png)

1. それ以外はすべてデフォルトのままにして、**[Next]** (次へ) をクリックします。

1. **[Configure automatic rotation]** (自動ローテーションを設定) で **[Disable automatic rotation]** (自動ローテーションを無効にする) を選択し、**[Next]** (次へ) をクリックします。

   このシークレットの保存後にローテーションを有効にすることができます。

1. 設定を確認し、**[Store]** (保存) をクリックして変更を保存します。Secrets Manager コンソールがアカウントのシークレットリストに戻ります。リストには、新しいシークレットが追加されています。

1. 新しく作成したシークレット名をリストから選択し、**[Secret ARN]** (シークレット ARN) 値をメモします。これは次のセクションで必要になります。

### ドメインサービスアカウントシークレットのローテーションを有効にする
<a name="seamless-linux-prereqs-turn-on-rotation"></a>

セキュリティ体制を改善するために、シークレットを定期的にローテーションすることをお勧めします。

**ドメインサービスアカウントシークレットのローテーションを有効にするには**
+ 「 *AWS Secrets Manager ユーザーガイド*」の「シー[AWS Secrets Manager クレットの自動ローテーションを設定する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)」の手順に従います。

  ステップ 5 では、「*AWS Secrets Manager ユーザーガイド*」のローテーションテンプレート「[Microsoft Active Directory 認証情報](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password)」を使用します。

  ヘルプについては、「 *AWS Secrets Manager ユーザーガイド*[」の「ロー AWS Secrets Manager テーションのトラブルシューティング](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html)」を参照してください。

### 必要な IAM ポリシーとロールを作成する
<a name="seamless-linux-prereqs-create-policy"></a>

次の前提条件の手順に従い、Secrets Manager のシームレスなドメイン結合シークレット (先ほど作成したもの) への読み取り専用アクセスを許可するカスタムポリシーを作成し、新しい LinuxEC2DomainJoin IAM ロールを作成します。

#### Secrets Manager の IAM 読み取りポリシーを作成する
<a name="seamless-linux-prereqs-create-policy-step1"></a>

IAM コンソールを使用して、Secrets Manager シークレットへの読み取り専用アクセスを許可するポリシーを作成します。

**Secrets Manager の IAM 読み取りポリシーを作成するには**

1. IAM ポリシーを作成する権限を持つユーザー AWS マネジメントコンソール として にサインインします。次に、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインの **[アクセス管理]** で、**[ポリシー]** を選択します。

1. **[Create policy]** (ポリシーの作成) を選択します。

1. [**JSON**] タブを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。これを、**[JSON]** テキストボックスに貼り付けます。
**注記**  
リージョンとリソース ARN を、先ほど作成したシークレットの実際の リージョンとARN に置き換えていることを確認してください。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }
   ```

1. 完了したら、[**Next**] を選択します。構文エラーがある場合は、Policy Validator によってレポートされます。詳細については、「[IAM ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)」を参照してください。

1. **[Review policy]** (ポリシーの確認) ページで、ポリシー名を入力します (**SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** など)。**[Summary]** (概要) セクションで、ポリシーで付与されているアクセス許可を確認します。**[Create Policy]** (ポリシーの作成) をクリックし、変更を保存します。新しいポリシーが管理ポリシーのリストに表示されます。これで ID にアタッチする準備は完了です。

**注記**  
シークレットごとに 1 つのポリシーを作成することをお勧めします。そうすることで、インスタンスが適切なシークレットにのみアクセスできるようになり、インスタンスが侵害された場合の影響を最小限に抑えることができます。

#### LinuxEC2DomainJoin ロールを作成する
<a name="seamless-linux-prereqs-create-policy-step2"></a>

IAM コンソールを使用して、Linux EC2 インスタンスへのドメイン結合に使用するロールを作成します。

**LinuxEC2DomainJoin ロールを作成するには**

1. IAM ポリシーを作成する権限を持つユーザー AWS マネジメントコンソール として にサインインします。次に、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインの **[Access Management]** (アクセス管理) で、**[Roles]** (ロール) を選択します。

1. コンテンツペインで、**[Create role]** (ロールの作成) を選択します。

1. [**Select type of trusted entity**] (信頼されたエンティティの種類を選択) の下で、[**AWS Service**] を選択します。

1. **[Use case]** (ユースケース) で **EC2** を選択し、**[Next]** (次へ) を選択します。  
![\[Select trusted entity page. AWS service の IAM コンソールで、EC2 が選択されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)

1. **[Filter policies]** (フィルターポリシー) で、以下を実行します。

   1. **AmazonSSMManagedInstanceCore** と入力します。次に、リスト内のその項目のチェックボックスをオンにします。

   1. **AmazonSSMDirectoryServiceAccess** と入力します。次に、リスト内のその項目のチェックボックスをオンにします。

   1. **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (または前の手順で作成したポリシーの名前) を入力します。次に、リスト内のその項目のチェックボックスをオンにします。

   1. 上記の 3 つのポリシーを追加したら、**[ロールを作成]** を選択します。
**注記**  
[AmazonSSMDirectoryServiceAccess] により、 Directory Serviceで管理されている Active Directory にインスタンスを結合するためのアクセス許可が付与されます。AmazonSSMManagedInstanceCore は、 AWS Systems Manager サービスを使用するために必要な最小限のアクセス許可を提供します。これらのアクセス許可を使用してロールを作成する方法、および IAM ロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Systems Manager の IAM インスタンスプロファイルを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)」を参照してください。

1. **LinuxEC2DomainJoin**[Role name]** (ロール名)欄 に、** 適宜の別の名前など 新しいロールの名前を入力します。

1. (オプション) **[Role description]** (ロールの説明) に、説明を入力します。

1. (オプション) **[ステップ 3: タグの追加]** で **[新しいタグの追加] **を選択してタグを追加します。タグのキーと値のペアは、このロールのアクセスを整理、追跡、または制御するために使用されます。

1. [**ロールの作成**] を選択してください。

## Linux スタンスを Simple AD Active Directoryにシームレスに結合する
<a name="simple_ad_seamless-linux-join-instance"></a>

**Linux インスタンスをシームレスに結合するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. ナビゲーションバーのリージョンセレクターから、既存のディレクトリ AWS リージョン と同じ を選択します。

1. [**EC2 ダッシュボード**] の [**インスタンスを起動する**] セクションで、[**インスタンスを起動する**] を選択します。

1. **[インスタンスを起動する]** ページの **[名前とタグ]** セクションで、Linux EC2 インスタンスに使用する名前を入力します。

1.  (選択可能) **[補足タグを追加]** で、タグとキーの値のペアを 1 つまたは複数追加して、この EC2 インスタンスのアクセスを整理、追跡、またはコントロールします。**

1. **Application and OS Image (Amazon Machine Image)**セクションで、起動したいLinux AMIを選択します。
**注記**  
使用する AMI には AWS Systems Manager 、(SSM Agent) バージョン 2.3.1644.0 以降が必要です。その AMI からインスタンスを起動して AMI にインストールされている SSM Agent のバージョンを確認するには、「[現在インストールされている SSM Agent バージョンを取得するには](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html)」を参照してください。SSM Agent をアップグレードする必要がある場合は、「[Linux の EC2 インスタンスで SSM Agent をインストールして設定する](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html)」を参照してください。  
SSM は Linux インスタンスを Active Directory `aws:domainJoin` ドメインに参加させる際にプラグインを使用します。プラグインは、Linux インスタンスのホスト名を EC2AMAZ-*XXXXXXX* の形式に変更します。`aws:domainJoin` の詳細については、「*AWS Systems Manager ユーザーガイド*」の「[AWS Systems Manager コマンドドキュメントプラグインリファレンス](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin)」を参照してください。

1. [**インスタンスタイプ**] セクションで、[**インスタンスタイプ**] ドロップダウンリストから使用するインスタンスタイプを選択します。

1. [**キーペア (ログイン)**] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。新しいキーペアを作成するには、[**新しいキーペアの作成**] を選択します。キーペアの名前を入力し、[**キーペアタイプ**] と [**プライベートキーファイル形式**] のオプションを選択します。OpenSSH で使用できる形式でプライベートキーを保存するには、[**.pem**] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[**.ppk**] を選択します。[**キーペアの作成**] を選択します。ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。
**重要**  
プライベートキーのファイルを保存できるのはこのタイミングだけです。

1. [**インスタンスを起動する**] ページの [**ネットワーク設定**] セクションで、[**編集**] を選択します。**[VPC - *必須*]** ドロップダウンリストから、ディレクトリが作成された **[VPC]** を選択します。

1. [**サブネット**] ドロップダウンリストから VPC 内のパブリックサブネットの 1 つを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。

   インターネットゲートウェイへの接続方法の詳細については、「*Amazon VPC User Guide*」の「[Connect to the internet using an internet gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)」を参照してください。

1. [**自動割り当てパブリック IP**] で、[**有効化**] を選択します。

   公開 IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon EC2 インスタンスユーザーガイド」の「[Amazon EC2 インスタンスの IP アドレス指定](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)」を参照してください。**

1. [**ファイアウォール (セキュリティグループ)**] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

1. [**ストレージの設定**] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

1. [**高度な詳細**] セクションを選択し、[**ドメイン結合ディレクトリ**] ドロップダウンリストからドメインを選択します。
**注記**  
ドメイン結合ディレクトリを選択すると、次のようになります:   

![\[ドメイン結合ディレクトリを選択したときのエラーメッセージ。既存の SSM ドキュメントにエラーがあります。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

このエラーは、EC2 起動ウィザードが予期しないプロパティを持つ既存の SSM ドキュメントを識別した場合に発生します。次のいずれかを試すことができます。  
以前に SSM ドキュメントを編集し、プロパティの存在が予想される場合は、[閉じる] を選択して EC2 インスタンスを変更せずに起動します。
ここで既存の SSM ドキュメントを削除するリンクを選択して、SSM ドキュメントを削除します。これにより、正しいプロパティを使用する SSM ドキュメントを作成できます。EC2 インスタンスを起動すると、SSM ドキュメントが自動的に作成されます。

1. **[IAMインスタンスプロファイル]**には、前提条件のセクションで以前に作成したIAMロールを選択します **[ステップ2：LinuxEC2DomainJoinロールを作成します]**

1. **[インスタンスを起動]** を選択します。

**注記**  
SUSE Linux でシームレスなドメイン結合を実行する場合は、認証が機能する前に再起動する必要があります。Linux ターミナルから SUSE を再起動するには、「**sudo reboot**」と入力します。

# Amazon EC2 Linux インスタンスをSimple AD アクティブディレクトリに手動で結合する
<a name="simple_ad_join_linux_instance"></a>

Amazon EC2 Windows インスタンスに加え、特定の Amazon EC2 Linux インスタンスを Simple AD　Active Directoryに結合することもできます。以下の Linux インスタンスのディストリビューションおよびバージョンがサポートされています。
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 ビット x86)
+ Amazon Linux 2023 AMI
+ Red Hat Enterprise Linux 8 (HVM) (64 ビット x86)
+ Ubuntu Server 18.04 LTS および Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**注記**  
他の Linux ディストリビューションとバージョンも動作する可能性がありますが、まだテストされていません。

## 前提条件
<a name="simple_ad_join_linux_prereq"></a>

Amazon Linux、CentOS、Red Hat、または Ubuntu インスタンスをディレクトリに結合するときは、先に、[Amazon EC2 Linux スタンスを Simple AD Active Directoryにシームレスに結合する](simple_ad_seamlessly_join_linux_instance.md) で指定したとおりにインスタンスを起動する必要があります。

**重要**  
次の手順は、正しく実行しないと、インスタンスに到達不可能になったり、インスタンスが使用できなくなったりする可能性があります。したがって、これらの手順を実行する前に、バックアップを作成するか、インスタンスのスナップショットを作成することを強くお勧めします。

**Linux インスタンスをディレクトリに結合するには**  
個々の Linux インスタンスについて、次のいずれかのタブの手順に従います。

------
#### [ Amazon Linux ]<a name="amazonlinux"></a>

1. 任意の SSH クライアントを使用してインスタンスに接続します。

1.  Directory Serviceが提供する DNS サーバーの DNS サーバーの IP アドレスを使用するように Linux インスタンスを設定します。これを行うには、VPC にアタッチされている DHCP オプションセットに設定するか、または手動でインスタンスに設定します。手動で設定するには、 AWS ナレッジセンターの「[プライベート Amazon EC2 インスタンスが Amazon Linux、Ubuntu、または RHEL で実行中です。再起動中も持続する EC2 インスタンスに静的 DNS サーバーを割り当てる方法を教えてください。](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/)」で、特定の Linux ディストリビューションとバージョンの永続的な DNS サーバーの設定に関するガイダンスを参照してください。

1. Amazon Linux - 64 bit インスタンスが最新であることを確認します。

   ```
   sudo yum -y update
   ```

1. 必要な Amazon Linux パッケージを Linux インスタンスにインストールします。
**注記**  
これらのパッケージの一部が既にインストールされている可能性があります。  
パッケージをインストールすると、いくつかのポップアップ設定画面が表示されます。一般的に、これらの画面のフィールドは空白のままで構いません。  
Amazon Linux  

   ```
   sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
   ```
**注記**  
使用している Amazon Linux のバージョンを確認する方法については、「[Amazon EC2 Linux インスタンス用ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id)」の 「Identifying Amazon Linux images」(Amazon Linux イメージの特定) を参照してください。

1. 次のコマンドを使用してディレクトリにインスタンスを結合します。

   ```
   sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
   ```  
*join\$1account@EXAMPLE.COM*  
ドメイン結合権限を持つ *example.com* ドメインのアカウント。プロンプトが表示されたら、アカウントのパスワードを入力します。これらの権限の委任に関する詳細については、「[AWS Managed Microsoft AD のディレクトリ結合権限の委任](directory_join_privileges.md)」を参照してください。  
*example.com*  
ディレクトリの完全修飾 DNS 名です。

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. SSH サービスを設定して、パスワード認証を許可します。

   1. テキストエディタで `/etc/ssh/sshd_config` ファイルを開きます。

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. `PasswordAuthentication` 設定を「`yes`」に設定します。

      ```
      PasswordAuthentication yes
      ```

   1. SSH サービスを再起動します。

      ```
      sudo systemctl restart sshd.service
      ```

      または:

      ```
      sudo service sshd restart
      ```

1. インスタンスが再起動したら、任意の SSH クライアントを使用して接続し、次の手順を実行してドメイン管理者グループを sudoers リストに追加します。

   1. 次のコマンドを使用して `sudoers` ファイルを開きます。

      ```
      sudo visudo
      ```

   1. 次の内容を `sudoers` ファイルの下部に追加して保存します。

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (上の例では「\$1<space>」を使用して Linux スペース文字を作成しています)。

------
#### [ CentOS ]<a name="centos"></a>

1. 任意の SSH クライアントを使用してインスタンスに接続します。

1.  Directory Serviceが提供する DNS サーバーの DNS サーバーの IP アドレスを使用するように Linux インスタンスを設定します。これを行うには、VPC にアタッチされている DHCP オプションセットに設定するか、または手動でインスタンスに設定します。手動で設定するには、 AWS ナレッジセンターの「[プライベート Amazon EC2 インスタンスが Amazon Linux、Ubuntu、または RHEL で実行中です。再起動中も持続する EC2 インスタンスに静的 DNS サーバーを割り当てる方法を教えてください。](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/)」で、特定の Linux ディストリビューションとバージョンの永続的な DNS サーバーの設定に関するガイダンスを参照してください。

1. CentOS 7 インスタンスが最新であることを確認します。

   ```
   sudo yum -y update
   ```

1. 必要な CentOS 7 パッケージを Linux インスタンスにインストールします。
**注記**  
これらのパッケージの一部が既にインストールされている可能性があります。  
パッケージをインストールすると、いくつかのポップアップ設定画面が表示されます。一般的に、これらの画面のフィールドは空白のままで構いません。

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. 次のコマンドを使用してディレクトリにインスタンスを結合します。

   ```
   sudo realm join -U join_account@example.com example.com --verbose
   ```  
*join\$1account@example.com*  
ドメイン結合権限を持つ *example.com* ドメインのアカウント。プロンプトが表示されたら、アカウントのパスワードを入力します。これらの権限の委任に関する詳細については、「[AWS Managed Microsoft AD のディレクトリ結合権限の委任](directory_join_privileges.md)」を参照してください。  
*example.com*  
ディレクトリの完全修飾 DNS 名です。

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. SSH サービスを設定して、パスワード認証を許可します。

   1. テキストエディタで `/etc/ssh/sshd_config` ファイルを開きます。

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. `PasswordAuthentication` 設定を「`yes`」に設定します。

      ```
      PasswordAuthentication yes
      ```

   1. SSH サービスを再起動します。

      ```
      sudo systemctl restart sshd.service
      ```

      または:

      ```
      sudo service sshd restart
      ```

1. インスタンスが再起動したら、任意の SSH クライアントを使用して接続し、次の手順を実行してドメイン管理者グループを sudoers リストに追加します。

   1. 次のコマンドを使用して `sudoers` ファイルを開きます。

      ```
      sudo visudo
      ```

   1. 次の内容を `sudoers` ファイルの下部に追加して保存します。

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (上の例では「\$1<space>」を使用して Linux スペース文字を作成しています)。

------
#### [ Red hat ]<a name="redhat"></a>

1. 任意の SSH クライアントを使用してインスタンスに接続します。

1.  Directory Serviceが提供する DNS サーバーの DNS サーバーの IP アドレスを使用するように Linux インスタンスを設定します。これを行うには、VPC にアタッチされている DHCP オプションセットに設定するか、または手動でインスタンスに設定します。手動で設定するには、 AWS ナレッジセンターの「[プライベート Amazon EC2 インスタンスが Amazon Linux、Ubuntu、または RHEL で実行中です。再起動中も持続する EC2 インスタンスに静的 DNS サーバーを割り当てる方法を教えてください。](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/)」で、特定の Linux ディストリビューションとバージョンの永続的な DNS サーバーの設定に関するガイダンスを参照してください。

1. Red Hat - 64 bit インスタンスが最新であることを確認します。

   ```
   sudo yum -y update
   ```

1. 必要な Red Hat パッケージを Linux インスタンスにインストールします。
**注記**  
これらのパッケージの一部が既にインストールされている可能性があります。  
パッケージをインストールすると、いくつかのポップアップ設定画面が表示されます。一般的に、これらの画面のフィールドは空白のままで構いません。

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. 次のコマンドを使用してディレクトリにインスタンスを結合します。

   ```
   sudo realm join -v -U join_account example.com --install=/
   ```  
*join\$1account*  
ドメイン結合権限を持つ **example.com** ドメインのアカウントの *sAMAccountName*。プロンプトが表示されたら、アカウントのパスワードを入力します。これらの権限の委任に関する詳細については、「[AWS Managed Microsoft AD のディレクトリ結合権限の委任](directory_join_privileges.md)」を参照してください。  
*example.com*  
ディレクトリの完全修飾 DNS 名です。

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. SSH サービスを設定して、パスワード認証を許可します。

   1. テキストエディタで `/etc/ssh/sshd_config` ファイルを開きます。

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. `PasswordAuthentication` 設定を「`yes`」に設定します。

      ```
      PasswordAuthentication yes
      ```

   1. SSH サービスを再起動します。

      ```
      sudo systemctl restart sshd.service
      ```

      または:

      ```
      sudo service sshd restart
      ```

1. インスタンスが再起動したら、任意の SSH クライアントを使用して接続し、次の手順を実行してドメイン管理者グループを sudoers リストに追加します。

   1. 次のコマンドを使用して `sudoers` ファイルを開きます。

      ```
      sudo visudo
      ```

   1. 次の内容を `sudoers` ファイルの下部に追加して保存します。

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (上の例では「\$1<space>」を使用して Linux スペース文字を作成しています)。

------
#### [ Ubuntu ]<a name="ubuntu"></a>

1. 任意の SSH クライアントを使用してインスタンスに接続します。

1.  Directory Serviceが提供する DNS サーバーの DNS サーバーの IP アドレスを使用するように Linux インスタンスを設定します。これを行うには、VPC にアタッチされている DHCP オプションセットに設定するか、または手動でインスタンスに設定します。手動で設定するには、 AWS ナレッジセンターの「[プライベート Amazon EC2 インスタンスが Amazon Linux、Ubuntu、または RHEL で実行中です。再起動中も持続する EC2 インスタンスに静的 DNS サーバーを割り当てる方法を教えてください。](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/)」で、特定の Linux ディストリビューションとバージョンの永続的な DNS サーバーの設定に関するガイダンスを参照してください。

1. Ubuntu - 64 bit インスタンスが最新であることを確認します。

   ```
   sudo apt-get update
   sudo apt-get -y upgrade
   ```

1. 必要な Ubuntu パッケージを Linux インスタンスにインストールします。
**注記**  
これらのパッケージの一部が既にインストールされている可能性があります。  
パッケージをインストールすると、いくつかのポップアップ設定画面が表示されます。一般的に、これらの画面のフィールドは空白のままで構いません。

   ```
   sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
   ```

1. 逆引き DNS 解決を無効にし、デフォルトのレルムをドメインの FQDN に設定します。Ubuntu インスタンスは、レルムが稼働する前に DNS で逆引き解決可能になっている**必要があります**。なっていない場合、次のように /etc/krb5.conf で逆引き DNS を無効にする必要があります。

   ```
   sudo vi /etc/krb5.conf
   ```

   ```
   [libdefaults]
   default_realm = EXAMPLE.COM
   rdns = false
   ```

1. 次のコマンドを使用してディレクトリにインスタンスを結合します。

   ```
   sudo realm join -U join_account example.com --verbose
   ```  
*join\$1account@example.com*  
ドメイン結合権限を持つ **example.com** ドメインのアカウントの *sAMAccountName*。プロンプトが表示されたら、アカウントのパスワードを入力します。これらの権限の委任に関する詳細については、「[AWS Managed Microsoft AD のディレクトリ結合権限の委任](directory_join_privileges.md)」を参照してください。  
*example.com*  
ディレクトリの完全修飾 DNS 名です。

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. SSH サービスを設定して、パスワード認証を許可します。

   1. テキストエディタで `/etc/ssh/sshd_config` ファイルを開きます。

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. `PasswordAuthentication` 設定を「`yes`」に設定します。

      ```
      PasswordAuthentication yes
      ```

   1. SSH サービスを再起動します。

      ```
      sudo systemctl restart sshd.service
      ```

      または:

      ```
      sudo service sshd restart
      ```

1. インスタンスが再起動したら、任意の SSH クライアントを使用して接続し、次の手順を実行してドメイン管理者グループを sudoers リストに追加します。

   1. 次のコマンドを使用して `sudoers` ファイルを開きます。

      ```
      sudo visudo
      ```

   1. 次の内容を `sudoers` ファイルの下部に追加して保存します。

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (上の例では「\$1<space>」を使用して Linux スペース文字を作成しています)。

------

**注記**  
Simple AD の使用において、「最初のログイン時にユーザーにパスワードの変更を強制する」オプションを指定して Linux インスタンスのユーザーアカウントを作成する場合、そのユーザーは **kpasswd** を使用して初期のパスワード変更ができません。初めてパスワードを変更する場合、ドメイン管理者が Active Directory 管理ツールを使用してユーザーのパスワードを更新する必要があります。

## Linux インスタンスからアカウントを管理する
<a name="simple_ad_manage_accounts"></a>

Linux インスタンスから Simple AD のアカウントを管理するには、次に示すように、Linux インスタンスで特定の設定ファイルを更新する必要があります。

1. **/etc/sssd/sssd.conf** ファイルで、**krb5\$1use\$1kdcinfo** を 「**False** 」に設定します。例: 

   ```
   [domain/example.com]
       krb5_use_kdcinfo = False
   ```

1. 設定を有効にするには、sssd サービスを再起動する必要があります。

   ```
   $ sudo systemctl restart sssd.service
   ```

   または、次のコマンドを使用できます。

   ```
   $ sudo service sssd start
   ```

1. CentOS Linux インスタンスからユーザーを管理する場合は、次を含めるためにファイル **/etc/smb.conf** も編集する必要があります。

   ```
   [global] 
     workgroup = EXAMPLE.COM
     realm = EXAMPLE.COM 
     netbios name = EXAMPLE
     security = ads
   ```

## アカウントのログインアクセスの制限
<a name="simple_ad_linux_filter"></a>

デフォルトでは、すべてのアカウントは Active Directory で定義されているため、ディレクトリのすべてのユーザーがインスタンスにログインできます。**sssd.conf** の **ad\$1access\$1filter** を使用して、特定のユーザーのみにインスタンスへのログインを許可できます。例: 

```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

*memberOf*  
ユーザーは、特定のグループのメンバーである場合にのみ、インスタンスへのアクセスを許可されることを示しています。

*cn*  
アクセス権限のあるグループの共通名。この例では、グループ名は、*admins* です。

*ou*  
これは、上記のグループが配置される組織単位です。この例では、OU は、*Testou* です。

*dc*  
これは、ドメインのドメインコンポーネントです。この例では、*example* です。

*dc*  
これは、追加のドメインコンポーネントです。この例では、*com* です。

**ad\$1access\$1filter** を手動で **/etc/sssd/sssd.conf** に追加する必要があります。

テキストエディタで **/etc/sssd/sssd.conf** ファイルを開きます。

```
sudo vi /etc/sssd/sssd.conf
```

この操作を行った後、**sssd.conf** は次のようになります。

```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam

[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

設定を有効にするには、sssd サービスを次のように再起動する必要があります。

```
sudo systemctl restart sssd.service
```

または、次のコマンドを使用できます。

```
sudo service sssd restart
```

## ID マッピング
<a name="simple-ad-id-mapping"></a>

ID マッピングは 2 つの方法で実行でき、UNIX/Linux ユーザー識別子 (UID) とグループ識別子 (GID)、Windows ID と Active Directory セキュリティ識別子 (SID) の ID 間の統一されたエクスペリエンスを維持できます。これらのメソッドは次のとおりです。

1. 一元化

1. 分散型

**注記**  
Active Directory での集中型ユーザ ID マッピングには、ポータブルオペレーティングシステムインターフェイス (POSIX) が必要です。

**一元化されたユーザ ID マッピング**  
Active Directory または別のLDAP (LDAP) サービスは Linux ユーザーに UID と GID を提供します。Active Directory では、POSIX 拡張が設定されている場合、これらの識別子はユーザーの属性に保存されます。
+ UID-Linux ユーザー名 (文字列)
+ UID 番号-Linux ユーザー ID 番号 (整数)
+ GID 番号-Linux グループ ID 番号 (整数)

アクティブディレクトリの UID と GID を使用するように Linux インスタンスを設定するには、`ldap_id_mapping = False` sssd.conf ファイルに設定します。この値を設定する前に、UID、UID 番号、および GID 番号が Active Directory 内のユーザーとグループに追加されていることを確認してください。

**分散型ユーザー ID マッピング**  
Active Directory に POSIX 拡張がない場合や、ID マッピングを一元的に管理しないことを選択した場合、Linux は UID と GID の値を計算できます。Linux はユーザー固有のセキュリティ識別子 (SID) を使用して一貫性を保ちます。

分散ユーザー ID マッピングを設定するには、`ldap_id_mapping = True` sssd.conf ファイルで設定します。

**一般的な問題**  
`ldap_id_mapping = False` を設定すると、SSSD サービスの開始が失敗することがあります。この失敗の理由は、UID の変更がサポートされていないためです。ID マッピングから POSIX 属性、または POSIX 属性から ID マッピングに変更するたびに、SSSD キャッシュを削除することをお勧めします。ID マッピングと ldap\$1id\$1mapping パラメータの詳細については、Linux コマンドラインで「ssd-ldap(8) man」のページを参照してください。

## Linux インスタンスへの接続
<a name="simple_ad_linux_connect"></a>

ユーザーの SSH クライアントを使用してインスタンスに接続し、ユーザー名の入力が求められます。ユーザーは、`username@example.com` または `EXAMPLE\username` のいずれかの形式でユーザー名を入力することができます。使用している Linux ディストリビューションに応じて、レスポンスは次のように表示されます。

**Amazon Linux、Red Hat Enterprise Linux、および CentOS Linux**

```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```

**SUSE Linux**

```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)

As "root" (sudo or sudo -i) use the:
  - zypper command for package management
  - yast command for configuration management

Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud

Have a lot of fun...
```

**Ubuntu Linux**

```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)

* Documentation:  https://help.ubuntu.com
* Management:     https://landscape.canonical.com
* Support:        https://ubuntu.com/advantage

  System information as of Sat Apr 18 22:03:35 UTC 2020

  System load:  0.01              Processes:           102
  Usage of /:   18.6% of 7.69GB   Users logged in:     2
  Memory usage: 16%               IP address for eth0: 10.24.34.1
  Swap usage:   0%
```

# Simple AD のディレクトリ結合権限を委任する
<a name="simple_ad_directory_join_privileges"></a>

コンピュータをディレクトリに結合するには、コンピュータをディレクトリに結合する権限を持つアカウントが必要です。

Simple AD では、**Domain Admins** グループのメンバーは、コンピュータをディレクトリに結合するのに必要な権限を持っています。

ただし、ベストプラクティスとして、必要な最小限の権限のみを持つアカウントを使用してください。次の手順は、`Joiners` という新しいグループを作成し、コンピュータをディレクトリに結合するために必要な権限をこのグループに委任する方法を示しています。

この手順は、ディレクトリに結合され、**[Active Directory User and Computers]** (Active Directory ユーザーとコンピュータ) MMC スナップインがインストールされたコンピュータで実行する必要があります。また、ドメイン管理者としてログインする必要があります。

**Simple AD での結合の権限を委任するには**

1. [**Active Directory User and Computers**] (Active Directory ユーザーとコンピュータ) を開き、ナビゲーションツリーのドメインルートを選択します。

1. 左側のナビゲーションツリーで、**[Users]** (ユーザー) のコンテキストメニュー (右クリック) を開き、**[New]** (新規)、**[Group]** (グループ) の順に選択します。

1. **[New Object - Group]** (新しいオブジェクト - グループ) ボックスで、次の内容を入力し、**[OK]** をクリックします。
   + **[Group name]** (グループ名) に「**Joiners**」と入力します。
   + **[Group scope]** (グループのスコープ) で、**[Global]** (グローバル) を選択します。
   + **[Group type]** (グループの種類) で、**[Security]** (セキュリティ) を選択します。

1. ナビゲーションツリーで、ドメインのルートを選択します。**[Action]** (アクション) メニューで、**[Delegate Control]** (制御の委任) を選択します。

1. **[Delegation of Control Wizard]** (制御の委任ウィザード) ページで、**[Next]** (次へ)、**[Add]** (追加) の順に選択します。

1. **[Select Users, Computers, or Groups]** (ユーザー、コンピュータ、またはグループの選択) ボックスで「`Joiners`」と入力し、**[OK]** をクリックします。複数のオブジェクトがある場合は、上記で作成した `Joiners` グループを選択します。**[Next]** (次へ) をクリックします。

1. **[Tasks to Delegate]** (委任するためのタスク) ページで、**[Create a custom task to delegate]** (委任するためのカスタムタスクを作成) を選択し、**[Next]** (次へ) をクリックします。

1. **[Only the following objects in the folder]** (フォルダ内の次のオブジェクトのみ) を選択し、**[Computer objects]** (コンピュータオブジェクト) を選択します。

1. **[Create selected objects in this folder]** (選択したオブジェクトをこのフォルダに作成) を選択し、**[Delete selected objects in this folder]** (このフォルダ内の選択したオブジェクトを削除) を選択します。続いて、**[Next]** (次へ) をクリックします。  
![\[フォルダ内の次のオブジェクトのみを含む制御委任ウィザード Active Directory オブジェクトタイプダイアログボックスでは、ユーザーオブジェクトを選択し、このフォルダで選択したオブジェクトを作成し、このフォルダ内の選択したオブジェクトを削除します。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)

1. **[Read]** (読み取り) と **[Write]** (書き込み) を選択し、**[Next]** (次へ) をクリックします。  
![\[統制ウィザードの権限の委任ダイアログボックスでは、一般権限、プロパティ固有権限、および読み取り権限が選択されています。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)

1. **[Completing the Delegation of Control Wizard]** (制御の委任の完了ウィザード) ページで情報を確認し、**[Finish]** (完了) を選択します。

1. 強力なパスワードでユーザーを作成し、そのユーザーを `Joiners` グループに追加します。その後、ユーザーは ディレクトリ Directory Service に接続するための十分な権限を持ちます。

# Simple AD の DHCP オプションセットの作成
<a name="simple_ad_dhcp_options_set"></a>

AWS では、 Directory Service ディレクトリの DHCP オプションセットを作成し、ディレクトリがある VPC に DHCP オプションセットを割り当てることをお勧めします。これにより、VPC 内のすべてのインスタンスで指定のドメインおよび DNS サーバーを参照し、ドメイン名を解決できるようになります。

 DHCP オプションセットの詳細については、「Amazon VPC ユーザーガイド」の「[DHCP options sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)」 (DHCP オプションセット) を参照してください。

**ディレクトリの DHCP オプションセットを作成するには**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで **[DHCP Options Sets]** (DHCP オプションセット) を選択し、**[Create DHCP options set]** (DHCP オプションセットの作成) を選択します。

1. [**Create DHCP options set**] (DHCP オプションセットの作成) ページで、ディレクトリの次の値を入力します。  
**名前**  
オプションセットのオプションタグ。  
**ドメイン名**  
ディレクトリの完全修飾名 (例: `corp.example.com`)。  
**ドメインネームサーバー**  
 AWS指定したディレクトリの DNS サーバーの IP アドレス。  
この IP アドレスは、[AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインに移動し、**[Directories]** (ディレクトリ) を選択して正しいディレクトリ ID を選択すると確認できます。  
**NTP サーバー**  
このフィールドは空白のままにします。  
**NetBIOS ネームサーバー**  
このフィールドは空白のままにします。  
**NetBIOS ノードタイプ**  
このフィールドは空白のままにします。

1. [**Create DHCP options set**] を選択します。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

1. 新しい DHCP オプションセットの ID (dopt-*xxxxxxxx*) を書き留めておきます。これは、新しいオプションセットを VPC に関連付けるときに使用します。

**VPC に関連付けられた DHCP オプションセットを変更するには**

DHCP オプションセットを作成後に変更することはできません。VPC で異なる DHCP オプションセットを使用するには、新しいセットを作成して VPC に関連付ける必要があります。DHCP オプションを使用しないように VPC を設定することもできます。

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで、[**Your VPCs（お使いの VPC）**] を選択します。

1. VPC を選択して、**[アクション]**、**[DHCP オプションセットの編集]** を順番に選択します。

1. **[DHCP options set]** (DHCP オプションセット) で、オプションセットを選択するか、**[No DHCP options set]** (DHCP オプションセットなし) を選択し、**[Save]** (保存) をクリックします。

コマンドラインを使用して、VPC に関連付けられた DHCP オプションセットを変更するには、次の内容を参照してください:
+ **AWS CLI**: [associate-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html)
+  **AWS Tools for Windows PowerShell**: [Register-EC2DhcpOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html)